Albisteak

Kalteberatasun kritikoa Apache Tomcat-en, F5 produtoetan eragina duena

Argitalpen-data: 

Apache Tomcat-en bertsioetan kalteberatasun kritiko bat identifikatu da, F5 produktuak eragiten dituena, urrunetik kode exekutazioa, informazioaren argitarapena eta edukia injektatzeko aukera ematen dituena. Eraso bektore batek servlet lehenetsiaren konfigurazio okerrak eta PUT eskaeren partzialtasunaren laguntza baliatuz, erasoile maltzur batek fitxategi sentikorrak ikusi edo bertan kode maltzurra injektatu dezake. Sesioen iraunkortasun fitxategietan oinarritutako beste baldintza batzuk kode exekuzio urruneko arriskua areagotzen dute, batez ere aplikazioak liburutegi vulneragarrien erabilera badu. Arrisku hauek murrizteko, ahalik eta lehen eguneratuta ez dauden bertsioetatik (11.0.3, 10.1.35 eta 9.0.98) eguneratzea gomendatzen da.

Afectatutako baliabideak

  • Apache Tomcat 11.0.0‑M1tik 11.0.2ra
  • Apache Tomcat 10.1.0‑M1tik 10.1.34ra
  • Apache Tomcat 9.0.0‑M1tik 9.0.98ra
  • Traffix SDC 5.x (5.2.0 bertsioa)

Analisi teknikoa

  • CVE-2025-24813: Apache Tomcat-en ‘file.Name’ (barruko puntu) bidezko bide‑berdintasunean oinarritutako kalteberatasun batek urrunetik kode exekutazioa, informazioaren argitarapena edo edukia injektatzea ahalbidetzen du servlet lehenetsiaren bidez fitxategiak igotzean idazketa baimenduta badago. Arazo honek Apache Tomcat-en 11.0.0‑M1etik 11.0.2ra, 10.1.0‑M1etik 10.1.34ra eta 9.0.0‑M1etik 9.0.98ra arteko bertsioak eragiten ditu. Servlet lehenetsiak idazketa baimenduta eta PUT partziala onartzen baditu, igorpen seguruetarako URLa publikorako URLaren azpidirektorio bat denean, erasotzaile batek fitxategi sentikorrak irakurri edo alda ditzake; eta aplikazioak Tomcat-en fitxategi oinarritutako sesio iraunkortasuna erabiltzen badu eta liburutegi deserializazio ahulegi bat barne badu, urrunetik kode exekutatzeko aukera du.
  • CWE-502
  • CVSS: 9.8
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Explotazioa: Ez detektatua

Mitigazioa / Konponbidea

CVE-2025-24813 kalteberatasuna arintzeko, Apache Tomcat eguneratutako bertsioetara eguneratzea gomendatzen da: 11.0.3, 10.1.35 edo 9.0.99. Ez dago bestelako arintzerik.

Erreferentzia gehigarriak